AI의 불확실성과 사이버 보안 침해가 급증하고 있어 개인이 자신의 개인 계정을 보호하지 못하면 직장도 위험에 처할 수 있는 불안한 시대이다. 하드웨어 인증 보안 키 글로벌 기업 유비코(Yubico)가 ‘2024년 글로벌 인증 현황 보고서’를 발표했다.

이 보고서는 호주, 프랑스, 독일, 인도, 일본, 폴란드, 싱가포르, 스웨덴, 영국 및 미국을 포함한 전 세계 2만 명의 사람들을 대상으로 실시한 설문 조사를 토대로 한다. 보고서는 사이버 보안이 개인적으로나 기업 영역에서 전 세계적으로 미치는 영향에 대한 인식과 이해를 측정하고, 부적절한 보안 관행으로 인한 위험, AI와 같은 신기술의 잠재적 위협과 개인과 조직의 안전 모두에 미치는 영향을 분석했다.

설문 조사 결과, 다단계 인증(MFA)의 광범위한 활용 부족과 사이버 위협에 대처하기 위한 일반적으로 사후 대응적인 접근 방식을 포함해 개인 및 직장 사이버 보안과 관련해 패턴과 행동에 대한 우려가 드러났다. 보고서의 주요 결과는 다음과 같다.

가장 안전하지 않은 인증 형식임에도 불구하고 가장 일반적인 인증 방법은 사용자 이름(아이디, ID)과 비밀번호이다. 58%는 사용자 이름과 비밀번호를 사용해 개인 계정에 로그인하고, 54%는 사용자 이름과 비밀번호를 사용해 업무용 계정에 로그인한다.

응답자들은 AI의 급속한 발전으로 온라인 사기와 피싱 공격이 더욱 정교해졌고(72%), 성공(66%)했다고 답했다.

하지만 인증을 위한 모범 사례에 대한 인식이 부족한 것으로 나타났다. 39%는 사용자 이름과 비밀번호가 가장 안전하다고 생각하고, 37%는 모바일 SMS 기반 인증이 가장 안전하다고 생각하며, 둘 다 피싱 공격에 매우 취약하다.

40%는 사용 중인 온라인 앱과 서비스가 보안 관점에서 데이터, 계정 및 개인 정보를 충분히 보호하고 있다고 생각하지 않거나 확신하지 못한다. 이러한 불확실성에도 불구하고 22%는 온라인에서 자신을 더 잘 보호하기 위해 개인 사이버 보안 감사(예: 인터넷에서 개인 데이터 제거, 장치에 사이버 보안 소프트웨어 설치 또는 업데이트, 훼손된 비밀번호 변경 등)를 결코 수행하지 않았다.

응답자들은 가장 흔하게 훼손되는 비밀번호가 가장 기밀적, 금융적 및 개인적 정보를 보관하는 앱과 서비스에 있다고 보고한다. 소셜 미디어 계정 44%, 결제 앱 24%, 온라인 소매업체 계정 21%, 메시징 앱 17%, 뱅킹 앱 13%의 순으로 나타났다.

직원의 경우, 보안 침해가 매년 증가하고 있음에도 불구하고 응답자의 40%는 근무하는 조직으로부터 사이버 보안 교육을 받은 적이 없으며, 극소수(27%)만이 조직들이 마련하고 있는 보안 옵션이 매우 안전하다고 생각한다. 직원 온보딩의 보안 측면을 살펴보면 응답자의 1/3 이상(34%)이 근무하는 회사에서 처음 일을 시작했을 때 사용자 이름과 비밀번호 이상으로 업무용 계정을 보호하기 위한 지침을 받지 못했다고 답했다.

조직의 모든 직원이 잠재적 표적이라는 사실에도 불구하고 41%는 회사의 역할과 직책에 따라 보안 조치와 요구 사항이 다르기 때문에 악의적인 행위자가 조직의 여러 수준 내에서 침투할 수 있는 여지가 있다고 말했다.

사이버 보안 침해 및 피싱 사기는 IT 부서나 기술에 정통한 개인만의 걱정거리가 아니다. 또한 특별히 AI 시대에 일반 대중에게 심각한 위험을 제기한다. 사이버 공격과 온라인 사기가 점점 더 정교해짐에 따라 모든 사람이 개인 생활과 직장 생활 모두에서 경계를 늦추지 않는 것이 그 어느 때보다 중요하다. 기업은 업무와 개인 환경 모두의 보안을 고려하는 사이버 보안에 대한 총체적인 접근 방식을 채택해야 한다.

유비코의 표준 및 제휴 담당 부사장인 데릭 핸슨(Derek Hanson)은 “이번 연구 결과는 가정과 직장 환경을 모두 아우르는 총체적인 사이버 보안 전략의 필요성을 강조한다. 여기에는 피싱을 방어하기 위해 더 강력한 인증 방법을 채택하고, 지속적인 직원 교육을 통해 보안 인식 문화를 조성하는 것 등이 포함된다.”라며 “궁극적으로 사이버 위협에 대한 통일 전선을 구축하려면 인지된 보안과 실제 보안 간의 격차를 해소하기 위한 공동의 노력이 필요하다. 디지털 생활의 모든 측면에 고급 보안 조치를 통합해 우리 자신, 우리의 데이터 및 우리의 조직을 더 잘 보호할 수 있다.”라고 말했다.